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PROCEDE DE GESTION D'UN CODE EXECUTABLE TELECHARGE DANS 
UN SYSTEME EMBARQUE REPROGRAMMABLE 

L' invention concerns un procede de gestion d'un 
code executable prevu pour etre telecharge, notarament 
dans un systeme informatique embarque a 
microprocesseur . 

5 D'une maniere generale, la presente invention 

s' applique a tout systeme embarque, reprogrammable par 
telechargement d'un programme constitue par un code 
executable, se pr6sentant sous la forme d'une suite 
d' instructions executables par le microprocesseur du 

10 systeme embarque. 1/ invention trouve une application 
partictflierement interessante dans un contexte oCi le 
code executable est constitue par un code objet 
intermediaire, executable par le microprocesseur du- 
systeme embarque par 1' intermediaire d'un interpreteur- 

15 du code intermediaire, coramunement appele machine 

•'A 

virtuelle, muni d'une pile d' execution et de registres. 
d'operandes manipules par ces instructions et 
permettant d' interpreter ce code intermediaire. 

Plus particulierement, la description qui va suivre 
20 concerne 1' application de 1' invention dans le contexte 
des cartes £ microprocesseurs reprogrammables de type 
JavaCard. 

Les cartes & microprocesseur de type JavaCard sont 
en effet reprogrammables par 1' intermediaire d'une 
25 operation de telechargement d'un petit programme, 
designe par « appliquette » ou « applet » selon la 
terminologie anglo-saxonne. 

Pour des raisons de portability entre differents 
syst^mes inf ormatiques embarques, un applet se presente 
30 sous forme de code pour une machine virtuelle standard . 
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entre le code source et le code binaire executable et 
est obtenu par exemple par la mise en ceuvre d'un 
compilateur Java. Ce code intermediate, « bytecode » 
5 selon la terminologie anglo-saxonne, n'est done pas 
directement executable par le microprocesseur de la 
carte mais doit etre interprets de maniere logicielle 
par un interpreteur de code binaire appele machine 
virtuelle. II suffit que la carte dans laquelle doit 
10 s'executer 1' applet ecrit en langage intermediate soit 
munie d'un minimum de ressources informatiques 
specifiques formant le programme constitutif de la 
machine virtuelle. Dans l' exemple precite des cartes de 
type JavaCard, la machine virtuelle utilisee est un 
15 sous-ensemble de la machine virtuelle Java. 

L' operation de telechargement d' applets sur un 
systeme informatique embarque dote d'un interpreteur de 
code intermediate pose un certain nombre de problemes 
de securite. Ainsi, un applet involontairement mal 
20 ecrit peut modifier de maniere incorrecte des donnees 
deja presentes sur le systeme, empecher le programme 
principal de s'executer correctement, ou encore 
modifier d'autres applets telecharges precedemment, en 
rendant ceux-ci inutilisables ou nuisibles. 
25 Egalement, a partir d'un applet ecrit dans un but 

malveillant, il est possible d'effectuer une operation 
de duplication de zones de memoire de la carte et/ou de 
mettre en peril le bon fonctionnement de la carte a 
puce. II devient ainsi possible d' avoir acces a des 
30 donnees conf identielles ou non autorisees stockees dans 
le systeme, telles que le code d' acces dans le cas 
d'une carte bancaire par exemple, ou d'attaquer 
l'mtegrite d'une ou plusieurs applications presentes 
sur la carte. Enfin, si la carte est connectee au monde 
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exterieur, les dysf onctionnements provoques peuvent se 

propager a 1' exterieur de la carte. 

Aussi, des solutions ont 6te propos<§es de maniere a 

remedier aux problemes de securite impliques par 
5 1' operation de tel^chargement de code intermediaire 

(bytecode) sur un systeme inf ormatique embarque dote 

d'un interpret eur de code intermediaire, tel que 

l'exemple precite de la JavaCard. 

Une solution consiste a effectuer des controles 
10 dynamiques d' acces et de typage pendant 1' execution des 

applets- La machine virtuelle effectue alors un certain 

norabre de controles lors de 1' execution des applets, 

tels que : 

Controle d' acces a la m6moire : a chaque lecture ou 
15 6-criture d'une zone memoire, la machine virtuelle 
verifie le droit d' acces de 1' applet aux donnees 
correspondantes ; 

Verification dynamique des types de donnees.: a 
chaque instruction de l'applet f la machine virtuelle 
20 verifie que les contraintes sur les types de donnees 
sont satisfaites ; 

Detection des debordements de pile et des acces 
illegaux dans la pile d' execution de la machine 
virtuelle . 

25 Cette solution presente toutefois 1' inconvenient 

d'un ralentissement tres important de 1' execution, 
provoque par 1' ensemble des verifications dynamiques. 
De telles verifications augmentent egalement les 
besoins en memoire vive et permanente du systeme, en 

30 raison des inf ormations supplemental res de type qu'il 
est necessaire d'associer aux donnees manipulees. 

Une autre solution consiste alors & specifier le 
code intermediaire (bytecode) de telle sorte qu'il soit 
possible de contr61er de maniere statique (c f est-a-dire 
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execution) que le programme est inoffensif. Ceci est 
realise par un organe de securite appele verifieur. 
Pour des raisons de securite, les cartes JavaCard 
doivent done posseder un verifieur a bord. 

Bien qu'il permette une execution du code 
intermediate beaucoup plus rapide par rapport au 
processus de verification dynamique, un tel processus 
de verification statique presente toutefois 
1' inconvenient d'etre coflteux, tant en taille de code 
necessaire pour conduire ce processus, qu'en taille de 
memoire vive necessaire pour contenir les resultats 
intermediates de la verification, et qu'en temps de 
calcul. 

15 En P ar tant du principe enonce dans cette derniere 

solution, la demande de brevet FR 2 7 97 963 (Dl) 
presente un protocole de gestion d' un code 
intermediate telecharge associe a un processus de 
verification statique de ce code intermediaire lors de 
son telechargeraent, qui permet une execution sure de ce 
dernier par le systeme informatique embarque. On 
obtient ainsi avantageusement un verifieur beaucoup 
plus simple et beaucoup moins couteux en taille de code 
necessaire . 

25 L'idee centrale de Dl est de transformer le code 

intermediaire hors carte avant son telechargement pour 
en simplifier la verification une fois qu'il a ete 
telecharge et memorise dans la carte. Une phase de 
transformation du code intermediaire est done realisee 
hors de la carte et il s'agit par consequent d'un code 
intermediaire modifie et normalise qui est telecharge 
dans la carte, plutot que le code intermediaire 
original obtenu par la mise en ceuvre d'un compilateur 
Java. Ainsi, le code intermediaire transforme hors 
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carte sera plus facilement verifie en mode statique 
selon un processus de verification predefini puisqu'il 
aura 6te transforme en un code intermediaire normalise 
satisfaisant a priori- aux criteres de verification du 

5 processus de verification predefini objet de Dl. Cette 
phase prealable de transformation effectu^e hors carte 
permet done avantageusement d' accelerer le processus de 
verification. Pour une description detaillee de cette 
solution, on pourra se reporter au texte de Dl. 

10 Toutefois, un inconvenient de la methode proposee 

dans Dl est qu'elle ne permet pas de faire cohabiter le 
processus de verification du code intermediaire sur 
laquelle elle repose avec un systeme de signature de ce 
code intermediaire. Ainsi, Dl ne permet pas d' avoir un 

15 code intermediaire d'une part, verifiable de fagon 
simple et rapide et, d' autre part, signe. En effet, la 
methode proposee par Dl prevoit de transformer le code 
intermediaire hors carte avant son telechargement comrae 
explique plus haut et, par consequent, la signature, du 

20 developpeur du code (ou de toute autre personne 
habilitee a signer le code) ef fectuee avant v la 
transformation imposee hors carte au code intermediaire 
devient, du fait meme de cette modification, invalide. 
II en resulte que la signature n' est alors plus 

25 verifiable par la carte. 

Or, la possibilite laissee a la carte de pouvoir 
verifier la signature du code intermediaire telechargd 
est egalement tres importante en terme de securite. En 
effet, la verification prealable du code intermediaire 

30 avant son execution ne permet pas de s' assurer que le 
code intermediaire ne contient pas de « cheval de 
Troie ». En fait, seule une analyse manuelle permet de 
controler que le code intermediaire, meme s'il est 
correct vis-a-vis de la verification, n'est pas 
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carte. Plus precisement , la carte ne peut en fait que 
verifier la validite d'une signature attestant que ce 
controle manuel du code intermediaire a ete effectue 
correctement. D'ou 1' importance de pouvoir mettre en 
oeuvre le telechargement d'un code intermediaire 
disposant d'une signature valide. 

La presente invention, qui se fonde sur ces 
differents constats, a pour but de pallier les 
xnconvenients precites lies a la mise en oeuvre du 
procede de verification objet de Dl. 

Avec cet objectif en vue, 1' invention vise plus 
particulierement a faire cohabiter un systeme de 
signature avec le systeme de verification propose par 
Dl lors du telechargement d'un code intermediaire dans 
un systeme informatlque embarque reprogrammable dote 
d'un interpreteur de code intermediaire, sans toutefois 
renoncer aux avantages procures par le systeme de 
verification selon Dl, notamment en termes de 
sxraplicite et de rapidite. 

Plus generalement, un objet de 1' invention est la 
mise en csuvre d'un procede de gestion d'un code 
executable a telecharger, intermediaire ou non 
permettant la verification d'une signature de ce code 
par un systeme informatlque embarque tel qu'une carte a 
microprocesseur, tout en laissant 1' opportunity 
d'op6rer une transformation du code executable en vue 
d'une utilisation specif ique predefinie. Par exemple 
la transformation du code executable original peut 
vouloir viser a ameliorer sa verification lors de son 
telechargement selon les principes du processus de 
verification exposes dans Dl, lorsqu'il s'agit d'un 
oode intermediaire execute par 1' intermediaire d'une 
machine virtuelle, ou bien encore a ameliorer 
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vitesse cT execution par le microprocesseur de la carte, 
sans qu'une telle transformation puisse alterer la 
validite de la signature et done sa verification par la 
carte . 

5 A cet effet, 1' invention concerne done un proced§ 

de gestion d'un code executable original formant un 
programme destine a etre t<§lecharge dans un systeme 
informatique embarque reprogrammable tel qu'une carte a 
microprocesseur, ledit code possedant une signature 

10 cryptographique et <§tant executable par le 
microprocesseur du systeme embarque apres verification 
par celui-ci de la validite de ladite signature, ledit 
procede comprenant les etapes consistant au moins : 

- hors carte. : - a identifier un code executable 
15 modifie correspondant au code original, adapte a n une 

utilisation specif ique predefinie; - a partir des 
variations entre les donnees du code original et: du 
code modifie correspondant, a calculer un composant 
logiciel qui, lorsqu' il est applique au code original, 
20 permet de reconstruire le code modifie; et - a signer 
ledit composant logiciel; 

- & telecharger le code original signe et le 
composant logiciel sign§ dans la carte; 

sur carte : - a verifier les signatures 
25 respectivement du code original et du composant 
logiciel; - a appliquer le composant logiciel sur le 
code original de fagon a reconstruire le code 
modifie pour son execution par le microprocesseur. 

Dans une variante, le code executable original est 
30 constitue par un code intermediaire, executable par le 
microprocesseur de systeme embarqu<§ par 1' intermediaire 
d'une machine virtuelle permettant d' interpreter ce 
code intermediaire . 
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avec ladite variante, la machine virtuelle est munie 
d'une pile d' execution et le composant logiciel 
telecharge, applique sur carte au code intermediate 
original, permet de reconstruire un code intermediaire 
modifie satisfaisant a priori a des criteres de 
verification dudit code intermediaire selon lesquels 
les operandes de chaque instruction dudit code 
appartiennent aux types de donnees manipulees par cette 
instruction et, a chaque instruction de cible de 
branchement, la pile d' execution de la machine 
virtuelle est vide. 

De preference, le code intermediaire modifie obtenu 
par 1' application du composant logiciel est verifie, 
avant son execution par le microprocesseur par 
1' intermediaire de la machine virtuelle, selon un 
processus verifiant que le code intermediaire modifie 
satisfait aux criteres de verification. 

Selon un autre mode de realisation, le composant 
logiciel telecharge, applique sur carte au code 
original, permet de reconstruire un code modifie tel 
que son execution est plus rapide par rapport a celle 
du code original . 

Selon un autre mode de realisation, le composant 
logiciel telecharge, applique sur carte au code 
original, permet de reconstruire un code modifie tel 
qu'il procure une optimisation en taille par rapport au 
code original. 

D'autres caracteristiques et avantages de 
1' invention ressortiront plus clairement de la 
description qui est faite ci-apres, a titre indicatif 
et nullement limitatif, en reference aux figures 
suivantes dans lesquelles : 
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la figure 1 illustre de. fagon schematique les 
etapes du proced<§ realisees hors carte ; 

la figure 2 illustre de' fagon schematique 
l'etape de telechargement dans la carte du code 

5 intermediaire original et du composant logiciel associe 
dedie a une utilisation specifique predefinie, et 

- la figure 3 illustre de fagon schematique les 
etapes du precede realisees sur carte, . 

La description qui va suivre est plus 

10 particuliereinent orientee vers une application de 
1' invention dans un context e de syst&me ouvert, et plus 
particulierement celui des cartes £ microprocesseurs 
reprogrammables de type JavaCard CP comme representee a 
la figure 2, ou le code original telecharge est un code 

15 intermediaire execute par le microprocesseur par 
1' intermediaire d'une machine virtuelle. Toutefois,; il 
ne doit pas §tre perdu de vue que le procede selon 
1' invention s' applique 6galement dans un contexte ou le 
code telecharge n'est pas un code intermediaire mais un 

20 code directement executable par le microprocesseur du 
systeme embarque. 

De tels systemes reprogrammables ajoutent done la 
possibility d'enrichir le programme executable apres la 
mise en service du systeme par une operation de 

25 telechargement d'un applet. L' applet devant etre 
telecharge se presente sous la forme d'un code 
executable original CI, constitue dans cet exemple par 
un code intermediaire pour une machine virtuelle, 
typiquement un sous-ensemble, de la machine virtuelle 

30 Java residant dans la memoire de la carte, Ainsi, une 
fois le code ' intermediaire CI gen6r6, un auditeur est 
mis a contribution pour verifier que le code 
intermediaire CI ne contient pas de cheval de Troie. 
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contient ef f ectivement aucun programme malicieux de ce 
type, l'auditeur signe le code intermediaire CI. La 
signature cryptographique SIGN peut etre effectuee en 
utilisant tout mecanisme de signature electronique a la 
disposition de l'homme de l'art. Le code intermediaire 
CI signe est alors utilisable sur n' import e quelle 
carte Java et possede done une signature SIGN attestant 
de son innocuite et susceptible d'etre verifi«Se par la 
carte au moment de son telechargement . La verification 
de la signature electronique consiste a verifier que la 
signature est valide. 

Une caracteristique essentielle de 1' invention 
consiste a telecharger le code intermediaire CI 
original, e'est-a-dire non modifi6, dans la carte CP et 
de lui adjoindre un composant logiciel CL permettant, 
lorsqu'il est applique au code intermediaire original, 
de calculer un code intermediaire CI' modifie adapte a 
une utilisation specif ique predefinie. Sur les figures 
le code intermediaire original CI est schematise par 
des lignes de code en trait continu, tandis que le code 
intermediaire modifie CI' correspondant est schematise 
par des lignes de code en trait continu et en 
pointilles . 

Selon 1' invention, le logiciel CL suppldmentaire a 
appliquer au code intermediaire original signe CI est 
calcule hors carte en fonction du code intermediaire 
original CI et d' un code intermediaire modifie 
correspondant, identifie pour une utilisation 
specif ique predefinie. De la meme facon que pour le 
code intermediaire original CI, le composant logiciel 
CL est signe et possedent done une signature SIGN' 
susceptible d'etre verifiee. 
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1/ application principale de 1' invention est de 
pouvoir faire cohabiter un systeme de signature avec le 
systeme de verification propose par Dl lors du 
telechargement du code intermediaire dans la carte. 

5 Aussi, dans le cadre de cette application, le code 
interitiediaire CI' est un code intermediaire modifie 
adapte a 1' utilisation specif ique predefinie consistant 
a satisfaire a priori aux criteres de verification du 
processus de verification objet de Dl. Ainsi, dans 

10 1' application principale de 1' invention, le composant 
logiciel est calculi de telle sorte qu'une fois 
applique au code intermediaire original CI, on obtient 
un code intermediaire modifie CI' qui est normalise 
selon 1' enseignement de Dl de fagon a satisfaire a 

15 priori aux criteres de verification du processus de 
verification objet de Dl . Notamment, le , code 
intermediaire normalise selon Dl est tel que , les 
operandes de chaque instruction appartiennent aux types 
de donnees manipulees par cette instruction et la pile 

20 d' execution de la machine virtuelle est vide a chaque 
instruction de cible de branchement . Pour . une 
description plus detaillee, le lecteur pourra utilement 
se reporter au texte de Dl . Cependant, il sortirait du 
cadre de la presente demande de detainer ici les 

25 calculs permettant d'aboutir au composant logiciel tel 
que defini, qui sont par ailleurs connus de l'homme du 
metier. 

Le code intermediaire original CI et le composant 
logiciel CL associe sont alors telecharges dans la 
30 carte CP, voir la figure 2. Le composant logiciel CL 
voyage done avec le code intermediaire original CI et 
est destine A etre applique sur carte au code 
intermediaire original, une fois stocke avec ce dernier 
dans une mimoire permanente reinscriptible de la carte. 
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du code intermediaire CI est valide, de facon a 
s' assurer que ce dernier ne comprend pas de cheval de 
Troie ni aucun autre code malicieux du meme type. La 
carte verifie egalement la validite de la signature 
SIGN' du composant logiciel CL pour s' assurer que lui 
non plus ne contient pas de cheval de Troie. 

Une fois ces operations prealables de verification 
de signature effectuees avec succes, la carte applique 
le composant logiciel CL au code intermediaire original 
CI, voir la figure 3, de fagon a reconstruire le code 
modifie CI' adapte a 1' utilisation specif ique 
predefinie consistant, dans le mode de realisation 
principal de 1' invention, a satisfaire a priori aux 
criteres de verification du processus de verification 
objet de Dl . 

La carte peut alors verifier le code intermediaire 
modifie avant son execution par le microprocesseur par 
1' intermediaire de la machine virtuelle en mettant en 
oeuvre les techniques de verification employees dans le 
processus de verification statique d'un fragment de 
programme objet de Dl . Ainsi, le processus de 
verification consiste a verifier que le code 
intermediaire modifie CI' satisfait aux criteres de 
verification precites, a savoir que les operandes de 
chaque instruction du code modifie appartiennent aux 
types de donnees manipulees par cette instruction et, a 
chaque instruction de cible de branchement, la pile 
d' execution de la machine virtuelle est vide. II est 
demande au lecteur de se rapporter au texte de Dl pour 
davantage de details qui seraient superflus dans le 
cadre de la presente demande. 

Puis, une fois la verification du code 
intermediaire modifie conduite selon les principes du 
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verifieur objet de Dl, le code intermediaire modifie 
est execute par le microprocesseur par 1' intermediaire 
de la machine virtuelle. 

Ainsi, le proc6de selon 1' invention permet de faire 
cohabiter avantageusement un systeme de signature avec 
le systeme de verification propose par Dl lors du 
telechargement d'un code intermediaire dans un systeme 
informatique embarque reprogrammable. II est done 
possible de telecharger des applets signes dans la 
carte et de permettre a la carte de verifier cette 
signature tout en conduisant un processus de 
verification tel qu' expose dans Dl . Ceci est rendu 
possible gr§ce au composant logiciel a telecharger en 
meme temps que le code intermediaire original signe, 
qui permet lorsqu' il est applique sur carte a ce 
dernier, d' obtenir un code intermediaire modifie 
repondant aux principes du verifieur simple et r^pide 
expose dans Dl . 

Le code intermediaire telecharge dans la q:arte 
selon 1' invention etant le code intermediaire original, 
sa signature n'est pas rendue invalide par. un 
quelconque processus de modification effectue hors 
carte et, en consequence, la carte est a meme de 
verifier sa signature avant son execution. 

Toutefois, si 1' application principale qui a ete 
presentee concerne un composant logiciel adapte a des 
fins de verification du code intermediaire selon les 
principes exposes dans Dl, 1' invention ne se limite 
nullement & une telle application. 

De fa<?on gendrale, 1' invention s' applique au 
telechargement dans un systeme embarque reprogrammable 
d'un code executable original, intermediaire ou non en 
fonction du systeme, et d'un composant logiciel associe 
tel que, lorsqu' il est applique sur carte au code 
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un code modifie adapts pour une utilisation specifique 
predefinie. La finalite peut done etre autre que 
l'obtention d'un code modifie permettant 1' application 
du processus de verification selon Dl. 

Notamment, 1' utilisation specifique predefinie a 
laquelle repond le code modifie peut correspondre a une 
optimisation en temps de 1' execution du code. Ainsi, le 
composant logiciel telecharge avec le code original 
peut etre calcule de facon que le code original, une 
fois modifie sur carte par application du composant, 
s' execute plus rapidement. Dans cette application de 
1' invention, le composant logiciel telecharge applique 
sur carte au code original permet done de reconstruire 
un code modifie tel que son execution est plus rapide 
par rapport a celle du code original. 

Egalement, le composant logiciel telecharge avec le 
code original peut etre calcule de facon que le code 
original, une fois modifie sur carte par application du 
composant, occupe une place memoire moindre. Dans cette 
application de 1' invention, le composant logiciel 
telecharge, applique sur carte au code original, permet 
done de reconstruire un code modifie tel qu' il procure 
une optimisation en taille par rapport au code 
original. 

L'exemple donne ci-apres a titre illustratif 
concerne un cas concret d' application sur carte d'un 
composant logiciel sur un code intermediaire original 
en vue d'obtenir une optimisation en vitesse 
d' execution et en taille du code original telecharge. 
Dans cet exemple, le code intermediaire original 
telecharge decrit une operation courante effectuee dans 
les programmes de carte a puce consistant a recuperer 
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1' octet de poids faible d'un mot de 16 bits place sur 
la pile. 

Soit done le code intermedial re original suivant 
(code operation Java et notation symbolique) : 
0x11 sspush 255 
0x00 
OxFF 

0x53 sand ; 

Ce code permet de recuperer 1' octet de poids faible 
d'un mot de 16 bits place sur la pile. Pour cela, il 
faut empiler un mot de 16 bits dont 1' octet de poids 
fort est a 0x00 et 1' octet de poids faible est a OxFF 
(sspush 255) , puis faire un ET logique entre les deux 
mots de 16 bits sur la pile (sand) . 

Et, soit le code de remplacement correspondant : 

0xC9 Xsand_255 ; 

Dans cet exemple particulier, le composant logiciel 
telecharge destine a etre appliqu6 sur carte au . code 
intermediaire original, a pour fonction de remplacer la 
suite d' instructions 0x11, 0x00, OxFF, 0x53 par le code 
de remplacement 0xC9, pour obtenir ainsi un code 
intermediaire modifie pour effectuer la meme operation 
mais procurant un gain de 3 octets par rapport au code 
intermediaire original et done une optimisation en 
taille et en vitesse lors de son execution par le 
microprocesseur par 1' intermediaire de la machine 
virtuelle . 

D'autres applications peuvent bien sur etre 
envisagees sans pour autant sortir du cadre de la 
present e invention . 



RE VEND I CAT IONS 

1. Proced<§ de gestion d' un code executable original 
(CI) formant un programme destine a §tre telecharge 
dans un syst&me informatique embarque reprogrammable 
tel qu'une carte a microprocesseur (CP) , ledit code 

5 possedant une signature cryptographique (SIGN) et etant 
executable par le microprocesseur du systeme embarque 
apres verification par celui-ci de la validite de 
ladite signature, ledit procede comprenant les etapes 
consistant au moins : 

10 - hors carte : - a identifier un code executable 

modifie (CI') correspondant au code original, adapte a 
une utilisation specifique predefinie; et - a partir 
des variations entre les donnees du code original (CI) 
et du code modifie (CI') correspondant, a calculer un 

15 composant logiciel (CL) qui, lorsqu' il est applique au 
code original, permet de reconstruire le code modifie; 
- a signer ledit composant logiciel (CL) ; 

- a telecharger le code original signe et le 
composant logiciel signe dans la carte; 

20 - sur carte : - a verifier les signatures (SIGN, 

SIGN') respect ivement du code original (CI) et du 
composant logiciel (CL) ; - a appliquer le composant 
logiciel (CL) sur le code original (CI), de fa<?on a 
reconstruire le code modifies (CI' ) pour son execution 

25 par le microprocesseur. 

2. procede selon la revendication 1, caracterise en 
ce que le code executable original (CI) est constitue 
par un code intermediaire, executable par le 
microprocesseur de systeme embarque par 1' intermediaire 

30 d'une machine virtuelle permettant d' interpreter ce 
code intermediaire . 
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3. " Procede selon la revendication 2, caracterise en 
ce que la machine virtuelle est munie d'une pile 
d' execution et en ce que le composant logiciel (CL) 
telecharge, applique sur carte au code intermediate 
original (CI), permet de reconstruire un code 
intermediaire modifie (CI') satisfaisant a priori a des 
criteres de verification dudit code intermediaire selon 
lesquels les operandes de chaque instruction dudit code 
appartiennent aux types de donnees manipulees par cette 
instruction et, a chaque instruction de cible de 
branchement, la pile d' execution de la machine 
virtuelle est vide. 

4. Procede selon la revendication 3, caracterise en 
ce que le code intermediaire modifie (CI') obtenu par 
1' application du composant logiciel est verifie, avant 
son execution par le microprocesseur : par 
1' intermediaire de la machine virtuelle, selon un 
processus verifiant que le code intermediaire modifie 
(CI') satisfait aux criteres de verification. 

5. Procede selon la revendication 1 ou. 2, 
caracterise en ce que le composant logiciel (CL) 
telecharge, applique sur carte au code original (CI), 
permet de reconstruire un code modifie tel que son 
execution est plus rapide par rapport a celle du code 
original . 

6. Procede selon la revendication 1 ou 2, 
caracterise en ce que le composant logiciel (CL) 
telecharge, applique sur carte au code original (CI), 
permet de reconstruire un code modifie tel qu'il procure 
une optimisation en taille par rapport au code 
original. 
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